SMS zprávy mohou být nedůvěryhodné

  • 75
Populární textovky se mohou stát zdrojem nedorozumění. Nedokonalá implementace jednoho z protokolů pro transportování esemesek do SMS center umožňuje, že uživatel může téměř libovolně změnit identitu odesílané zprávy.

Jedním z protokolů, které se používají pro přenos SMS zpráv do SMS center je pravděpodobně dnes už historický protokol pro textovou pagingovou službu. Právě prostřednictvím tohoto protokolu je manipulace s identitou odesilatele velmi jednoduše možná. Vlastní datový kanál mezi počítačem a SMS centrem může mít přitom různou podobu, od klasické telefonní linky až po paketovou síť, tedy např. internet nebo privátní datovou síť. Na typu použité sít’ové technologie ale samozřejmě samotné odeslání krátké textové zprávy nezáleží, jde jen o to, jakým způsobem a jaká síť povel k odeslání textové zprávy do SMS centra zadává.

Přesto, že je v protokolu samotném na autentizaci, tedy prověření identity odesilatele pamatováno, námi vyzkoušené SMS centrum ochotně odesílá textovky i bez ní. Identitu odesilatele lze přitom téměř libovoně měnit. Limitováni jste pouze pravidly zápisu příkazu pro odeslání zprávy. K odeslání nepotřebujete nic víc, než běžný počítač s nainstalovaným odesílačem a spojení do SMS centra.

Jako ideální zařízení pro odesílání podvržených textovek se ale může snadno brzy stát i pouhý mobilní telefon s podporou Javy. Je jen otázkou času, kdy si někdo z programátorů najde čas a příslušnou javovou aplikaci naprogramuje.

Odesílat tyto zprávy by mohl umožnit každému mobilnímu telefonu také přeposílací server, který přijme textovku ve speciálním formátu, zpracuje ji a přepošle s pozměněnou identitou podle přání odesilatele. Takto lze trik používat ve spojení s kterýmkoli mobilem, tedy i bez podpory Javy.

Podařilo se nám odesílat textové zprávy do mobilních sítí všech tří mobilních operátorů v České republice s pozměněným číslem odesilatele. Takové zprávy mohou zmást příjemce a způsobit tak nepříjemné problémy, protože až dosud považuje veřejnost komunikaci prostřednictvím digitální mobilní sítě za zcela bezpečnou.

Přestože přímé ekonomické dopady způsobené změnou čísla odesilatele v SMS zprávě nejsou patrně vyčíslitelné, dopady v rovině osobní a morální mohou být značné. Vhodně zaslaná textovka s osobním obsahem totiž snadno rozpoutá rodinnou bouři a může iniciovat nedůvěru. Nezanedbatelné může být také ovlivnění funkce různých bezpečnostních zařízení a dálkových ovládání, která pro svoji činnost síť GSM a krátké textové zprávy používají. Některé z nich totiž ověřují platnost přijatých příkazů jen pomocí čísla odesilatele. Jestliže nejsou dále zabezpečena, příkazy ochotně vykonají. Případný narušitel objektu si tak může jednoduše zjistit, jaké zařízení používáte, podívá se do návodu a v nestřeženém okamžiku může bezpečnostní systém vypnout, což mu zajstí bezproblémový pohyb v hlídaném prostoru.

Tiskový mluvčí T-Mobile Jiří Hájek k problému sdělil: „Jedná se pravděpodobně o zasílání SMS zpráv prostřednictvím některého ze zahraničních center.“ Uvedl přitom, že SMS centrum T-Mobile je proti tomuto typu útoku dostatečně chráněno. Tisková mluvčí Eurotelu Diana Dobálová i její protějšek Petr Šindler z Oskara se k problému nevyjádřili, protože k němu nemají dostatek ïnformací. „Žádný z našich zákazníků si dosud nestěžoval.“ uvedla Dobálová.

Aktualizováno:

„Společnost Eurotel považuje za důležité informovat své zákazníky a veřejnost o tom, že její SMS centra neumožňují díky své vysoké úrovni zabezpečení posílat tento druh falešných SMS zpráv,“ uvádí ve své tiskové zprávě společnost Eurotel a dodává:

„V případě, že dojde ke zneužití čísla našeho zákazníka jako fiktivního odesílatele, tak mu tyto SMS zprávy nebudou samozřejmě zpoplatněny. Tzv. falešné SMS zprávy nepředstavují hrozbu ani pro naše zákazníky, kteří využívají služeb GSM bankovnictví s vyšším stupněm zabezpečení, nebo posílají dárcovské SMS (DMS) a Premium SMS zprávy.“